Anexo 3 Informações ao Fornecedor/Solicitações feitas ao contato de segurança da BT O FORNECEDOR deve preencher a Seção 1. (envie um e-mail com o formulário de consulta preenchido para security@bt.com e no Assunto coloque Contato de segurança da BT solicitado para consulta da cláusula de segurança/incidente ) Seção 1. 1. Indique a natureza da pergunta relacionada aos termos e condições de segurança junto ao contato de segurança da BT utilizando as descrições da Cláusula abaixo e marque o campo apropriado à pergunta. Ficará mais fácil de respondermos à sua pergunta se você fornecer detalhes relacionados a ela. Referência da cláusula Descrição da cláusula 3.1 O fornecedor deve informar imediatamente à BT os dados de contato de segurança do fornecedor e quaisquer alterações ligadas a eles. Insira os dados abaixo: Escolha um item. Caixa de seleção a ser selecionada 3.2 No início do Contrato o Fornecedor deve informar ao contato de segurança da BT, por escrito, utilizando o Anexo 3, as localizações geográficas em que os principais serviços serão prestados, em que os funcionários terceirizados estão localizados ou onde as informações da BT serão processadas ou armazenadas. Durante o contrato, o Fornecedor também deve informar qualquer alteração de localização geográfica proposta ao contato de segurança da BT através do Anexo 3 para que a BT possa reavaliar quaisquer riscos que possam ser gerados à BT ou às informações do cliente da BT. O fornecedor deve garantir que todos os contratos com subcontratadas relevantes incluam termos por escrito que obriguem a subcontratada a cumprir com os requisitos de segurança do fornecedor da BT à medida em que forem aplicáveis. Estes termos devem estar em vigor entre o Fornecedor e sua Subcontratada antes que a Subcontratada ou um de seus funcionários tenha acesso aos sistemas ou a informações da BT. Insira os dados da localização abaixo: Escolha um item. Edição1.1 Pagina 1 de 6
3.5 O fornecedor deve informar o contato de segurança da BT através do Anexo 3 caso passe por uma fusão, aquisição ou mudança na propriedade para que possamos reavaliar qualquer risco à BT ou às informações do cliente da BT. Insira os dados abaixo: Escolha um item. 3.8 O Fornecedor deve, em relação ao fornecimento, ter procedimentos formais de gestão de incidentes de segurança com responsabilidades definidas e todas as informações relacionadas a incidentes de segurança devem ser tratadas como Confidenciais. O Fornecedor deve informar o contato de segurança da BT através do Anexo 3, dentro de um prazo razoável, após tomar conhecimento de qualquer acidente: i) que envolva a perda material, adulteração, dano ou mal uso de informações da BT, de ativos físicos da BT, itens da BT ou o acesso impróprio ou não autorizado a sistemas e informações da BT ou a violação de qualquer obrigação do Fornecedor sob estes Requisitos de Segurança; ou ii) que envolva qualquer inabilidade de fornecer os serviços de acordo com o contrato; Iii) qualquer ação que viole os requisitos deste documento de Segurança. Mediante solicitação, o Fornecedor deve fornecer imediatamente à BT um relatório por escrito com um plano de correção que inclua um cronograma e os passos a serem tomados para evitar que o incidente volte a se repetir. 4.4 O Fornecedor deve manter uma linha direta confidencial, disponível a todos os seus funcionários, até o limite permitido pela lei, para que seja usado pelos funcionários contratados caso sejam instruídos a agir de forma inconsistente e em violação a estes requisitos de segurança. Os relatórios relevantes devem ser informados ao contato de segurança da BT através do Anexo 3. 8.2 Apenas os build servers aprovados pela BT, PCs Webtop da BT e dispositivos de confiança da BT podem ser conectados diretamente (ligados a uma porta Lan ou à conexão sem fio) aos domínios da BT. Edição1.1 Pagina 2 de 6
O Fornecedor não deve (e, se for o caso, deve se certificar de que nenhum funcionário contratado deva), sem autorização prévia do contato de segurança da BT por escrito (através do Anexo 3), conectar qualquer equipamento não aprovado pela BT a qualquer domínio da BT. O contato de segurança da BT deve fornecer a autorização por escrito ao iniciar o processo de concessão da política de segurança dentro da BT. 9.14 O Fornecedor deve se certificar de que seja proibido fotografar e/ou capturar a imagem de qualquer informação da BT ou de informações do cliente da BT. Sob circunstâncias excepcionais em que possa haver casos que exijam que estas imagens sejam capturadas, uma exceção temporária a esta cláusula deve ser obtida por escrito pelo contato de segurança da BT, utilizando o Anexo 3. 12.6 Caso seja necessário para fins de conformidade com assuntos de segurança, o contato de segurança de rede da BT (e/ou pessoas indicadas por ele, as quais devem ser funcionários da BT) deve ter direitos similares (mutatis mutandis) caso solicitado como parte dos fornecimentos, da familiarização e da validação (conforme definido no Contrato de Acesso a Informações) com relação ao material de origem (conforme definido no Contrato de Acesso a Informações). 13.2c Não é permitido realizar ligações entre domínios aos sistemas da BT, a não ser que especificamente aprovadas e autorizadas pelo contato de segurança da BT, usando o Anexo 3. 16.3 O Fornecedor deve fornecer ao contato de segurança de rede da BT os nomes, endereços ( e demais detalhes, conforme solicitação da BT) de todos os funcionários contratados individuais que periodicamente possam ter envolvimento na implementação, manutenção e/ou gestão de suprimentos antes que estejam respectivamente envolvidos em tal implementação, manutenção e/ou gestão. Edição1.1 Pagina 3 de 6
16.5 O Fornecedor deve fornecer um cronograma ao contato de segurança de rede da BT (atualizado conforme necessário) de todos os componentes ativos inclusos no fornecimento e em suas respectivas fontes. 16.10 O Fornecedor deve, imediatamente, e, em todo caso, dentro de 7 dias úteis, fornecer ao contato de segurança de rede da BT todos os detalhes de quaisquer recursos e/ou funcionalidades de qualquer fornecimento (ou que esteja planejado no roteiro de qualquer fornecimento) que de tempos em tempos: Não específico Anexo 1 Não é possível identificar uma cláusula específica ou uma consulta relacionada a segurança adicional. Aprovações solicitadas pelo contato de segurança da BT relacionadas à Classificação das informações da BT 2. Preencha os campos a seguir para que sua pergunta possa ser alocada o mais rápido possível junto ao contato de segurança apropriado. 1 Nome da empresa fornecedora 2 Nome do contato da empresa fornecedora 3 Número de telefone 4 Endereço de e-mail 5 Número do contrato 6 Data da consulta/incidente 7 Nome do principal contato da BT junto ao Fornecedor (Pessoa com quem o Fornecedor normalmente lida em trabalhos junto à BT) 8 Número de telefone do contato da BT Edição1.1 Pagina 4 de 6
9 Detalhes da consulta Edição1.1 Pagina 5 de 6
Seção 2 Apenas para uso da BT Data de recebimento da consulta Número de referência da Central de Ajuda 1. Verifique se o fornecedor selecionou pelo menos uma cláusula de segurança na primeira tabela. Na segunda tabela o Fornecedor deve ter preenchido pelo menos as linhas 1 7 e 9. Caso ainda falte algum detalhe, você precisará entrar em contato com o Fornecedor para obtê-lo. 2. Caso o Fornecedor tenha selecionado a cláusula de Segurança destacada em verde, este assunto deverá ser tratado pela equipe Cert de segurança da BT, deve ser registrado no Raptor e o formulário de solicitação do fornecedor deve ser enviado por e-mail para a equipe CERT. 3. Caso o Fornecedor tenha selecionado uma cláusula de Segurança destacada em azul, este assunto deverá ser tratado pela equipe de segurança de rede e este formulário deve ser enviado por e-mail para Kevin Waterfall e Neil Trask. 4. Todas as demais cláusulas de segurança devem ser tratadas pela equipe IA de segurança da BT. Este formulário de captura de dados agora pode ser colocado na porta da frente da equipe IA de segurança da BT. a. No campo assunto, copie e cole o conteúdo das duas primeiras colunas da primeira tabela que corresponde à caixa de verificação selecionada pelo Fornecedor e adicione o nome do Fornecedor. ex. 0800 3.1) Nome do Fornecedor (Isso é importante, uma vez que a caixa de e-mails recebidos executará um script com base no Assunto) b. Anexe o formulário de solicitação do Fornecedor e envie para Risk & Compliance G Edição1.1 Pagina 6 de 6